Typischerweise haben viele Kunden bereits eine zentrale Benutzerverwaltung am Start. Im Allgemeinen ist das ein MS Active Directory.
|
MS AD: Eindeutige Identitäten |
Nehmen wir z.B. den Benutzer "Suvad Sahovic". Dieser Benutzer existiert im MS AD und hat verschiedene Rollen im Unternehmen inne. Er ist DBA, Entwickler und Anwender einer HR Anwendung.
Im Sinne seiner Tätigkeit benötigt dieser Benutzer verschiedene Accounts und Tools, um seine Tätigkeiten auszuführen. Das bedeutet letztendlich
- SSH Zugang, um auf die Systeme zu kommen
- Entwickler Zugang, um z.B. mit dem SQL Developer zu arbeiten
- Zugang als DBA, um eben diese Tätigkeit auzuüben
- Zugang zur HR Anwendung als Endbenutzer
Es wäre schön, wenn der "Suvad" seine Tätigkeiten immer entsprechend des Zwecks durchführen kann, d.h. sein DBA Recht sollte er z.B. nicht als Entwickler oder HR-Endanwender ausführen.
Die Idee ist nun den Benutzer aus dem MS AD zu verwenden und damit einen Zugang einzustellen, mit dem alle Tätigkeiten ausgeführt werden können.
|
SSH Zugriff mit dem Account aus dem MS AD via Kerberos |
|
|
Zugang ins Entwicklungstool ohne Username und PW mittels Kerberos |
|
|
|
Zugang ins SQL Plus mittels Kerberos |
|
| |
Zugang als DBA |
|
Zugang als HR Anwender |
|
Ein Anwender arbeitet mit seinem Account aus dem MS AD automatisch zweckgetrennt in den Systemen und Anwendungen. Es existiert nur eine Benutzerverwaltung mit der man sehr viele Systeme und Anwendungen anbinden kann. Das reduziert die Komplexität und erhöht die Sicherheit.
Was bringt so eine Lösung für eine Datenbank-Umgebung?
- Starke Authentifizierung (Kerberos) in der Oracle Datenbank Welt, die bereits in Ihrem Unternehmen weitgehend genutzt wird.
- Zentralisierte Benutzerauthentifizierung durch bestehende Infrastruktur (Oracle Datenbank und MS Active Directory)
- Zentralisiertes Password Management. Erzwingung der Passwortrichtlinien durch Einsatz der bestehenden Infrastruktur (MS Active Directory).
- Zwecktrennung. Account Management und Applikations/DB Management wird voneinander getrennt.
- Reduzierung der Komplexität. Durch Zentralisierung und Auslagerung werden viele Betriebsaufgaben überflüssig.
- Reduzierung vieler administrativen DB Aufgaben. Bei den DBAs entfallen viele Aufgaben z.B. im Bereich User Management, Password Mgmt, etc.,die nicht anderweitig ausgelagert werden, sondern die einfach entfallen. Es wird die bestehende Infrastruktur dafür verwendet.
- Keine User Repository Redundanzen. Es wird Ihr bestehendes User Repository (typischerweise MS Active Directory) als führendes Benutzer Verzeichnisdienst verwendet.
- Einhaltung und Erzwingung der unternehmerischen Sicherheitsrichtlinien. Vorhandene Inkonsequenzen, falsche oder falsche implementierte Security Konzepte, verursacht durch menschliches Versagen, werden ausgeschlossen.
- Einhaltung und Erzwingung der gesetzlichen Vorgaben.
- Single Sign On. Es wird ein bestehendes unternehmensweites Single Sign On (basierend auf Kerberos) nachhaltig genutzt.
- Erzwingung von Least Privilege Konzept. Durchgehendes Konzept, welches nicht umgegangen werden kann.
- Eindeutigkeit und bessere Nachvollziehbarkeit.
- Eindeutig mehr Transparenz.
- Nutzung der bestehender Infrastruktur.
Wie implementiert so eine Lösung?
Wie man so etwas in ca. 1 Minute implementiert, zeigen wir auf dem
Oracle Direct Security Day am 16.4.2015. Diese Veranstaltung wird online und live ausgestrahlt. Für eine Teilnahme muss man sich registrieren:
http://bit.ly/ODSD2015
Wir freuen uns auf Sie, melden Sie sich noch heute an.
Keine Kommentare:
Kommentar veröffentlichen